Hackeri zneužívajú známu aplikáciu vo Windowse. Cez ňu môžu vidieť tvoje SMS správy aj jednorazové prihlasovacie kódy
Bezpečnostní analytici varujú pred novým malvérom, ktorý napáda obľúbenú aplikáciu vo Windows počítačoch prepájajúcu Windows s Androidom.
Hackeri si našli ďalšiu cestu k tvojim účtom a tentoraz im často stačí jediná vec, počítač prepojený s mobilom. Bezpečnostní analytici zo spoločnosti Cisco Talos upozornili na nový škodlivý softvér CloudZ RAT, ktorý cieli práve na používateľov aplikácie Microsoft Phone Link. Tá prepája smartfón s Windows počítačom a umožňuje čítať SMS správy, notifikácie či telefonovať priamo z PC.
Práve z tejto pohodlnej funkcie sa teraz stal potenciálny problém. Útoky podľa Talosu prebiehali minimálne od januára 2026. Hackeri do zariadení nasadili škodlivý nástroj CloudZ RAT spolu so špeciálnym pluginom s názvom Pheno. Jeho úlohou je zistiť, či má obeť práve prepojený mobil s počítačom cez Phone Link. Ak áno, útočníci získajú šancu zachytiť SMS správy, notifikácie z autentifikačných aplikácií a potenciálne aj jednorazové prihlasovacie kódy OTP. To je presne typ ochrany, ktorý dnes používa obrovské množstvo ľudí pri bankovníctve, sociálnych sieťach alebo pracovných účtoch.
Celý trik stojí na tom, že Microsoft Phone Link nefunguje iba ako „živý prenos“ obrazovky telefónu. Aplikácia si synchronizované údaje ukladá aj lokálne do databázy SQLite v počítači. Ide o súbor začínajúci názvom PhoneExperiences-*.db, ktorý obsahuje históriu SMS správ, zoznamy hovorov či notifikácie z mobilu. Pheno plugin presne vie, kde tento databázový súbor hľadať.
Hackeri nemusia striehnuť na konkrétnu správu, aby získali dôležité údaje
Pre hackera to znamená veľkú výhodu, lebo nemusí neustále sledovať tvoju obrazovku alebo čakať na konkrétnu správu. Stačí mu občas stiahnuť databázový súbor a získa prakticky kompletný archív komunikácie synchronizovanej cez Phone Link.

Samotný Pheno pritom nepôsobí ako obyčajný „vysávač dát“. Plugin najprv vykoná prieskum systému. Sleduje procesy ako YourPhone, PhoneExperienceHost alebo Link to Windows a kontroluje, či medzi mobilom a PC práve existuje aktívne spojenie. Phone Link pri komunikácii vytvára lokálne proxy spojenie medzi telefónom a počítačom. Pheno preto v logoch vyhľadáva práve slovo „proxy“. Ak ho nájde, zapíše stav „Maybe connected“.
Neprehliadni
Pre hackera ide v podstate o upozornenie, že obeť má práve aktívne prepojený telefón a teraz sa oplatí sledovať OTP kódy alebo nové SMS správy. Celý útok začína pomerne nenápadne. Talos objavil falošné aktualizačné súbory s názvami ako systemupdates.exe alebo Windows-interactive-update.exe. Na prvý pohľad vyzerajú legitímne, no v skutočnosti ide o loader, ktorý následne stiahne ďalšie časti malvéru.
Bezpečnostných analytikov prekvapilo, že útočníci tentoraz stavili na programovací jazyk Rust. To je v roku 2026 čoraz populárnejší trend medzi tvorcami malvéru. Kód napísaný v Ruste totiž tradičné antivírusy analyzujú oveľa ťažšie než klasické C++ alebo C# aplikácie. Bezpečnostní experti už dlhšie upozorňujú, že Rust sa postupne mení na obľúbený jazyk moderných hackerov.
Malvér dokáže kontrolovať, či ho niekto práve sleduje
CloudZ navyše nepôsobí ako primitívny vírus. Malvér kontroluje, či ho niekto nesleduje cez debugger alebo bezpečnostné nástroje typu Wireshark či Process Monitor. Overuje dokonca aj to, či nebeží vo virtuálnom stroji alebo sandboxe, ktoré používajú bezpečnostní analytici. Ak niečo podozrivé objaví, jednoducho sa vypne. Hackeri zároveň využili viacero legitímnych nástrojov Windowsu. Na sťahovanie škodlivých pluginov použili napríklad curl, PowerShell alebo dokonca bitsadmin.
To je klasická taktika „living off the land“, pri ktorej útočníci používajú bežné systémové nástroje namiesto podozrivých externých aplikácií. Talos objavil aj ďalší nepríjemný detail. CloudZ dokázal rotovať rôzne user-agent reťazce, aby jeho komunikácia vyzerala ako normálne prehliadanie internetu cez Firefox, Chrome alebo Safari. Na prvý pohľad tak útok často nepôsobil vôbec podozrivo.
Cisco Talos zároveň upozorňuje, že cieľom útočníkov pravdepodobne nebol len zber SMS správ. CloudZ dokázal kradnúť aj uložené prihlasovacie údaje z prehliadačov, vykonávať shell príkazy alebo nahrávať obrazovku. To z neho robí plnohodnotný vzdialený prístupový nástroj, teda RAT.

Útok pritom cieli na funkciu, ktorú Microsoft prezentuje ako pohodlný most medzi mobilom a počítačom. Práve tento „most“ sa teraz zmenil na potenciálnu slabinu.
Zatiaľ neexistujú dôkazy, že by útok zasiahol masy používateľov po celom svete, no bezpečnostní analytici upozorňujú, že kým sa neobjaví oprava, útok môže eskalovať prakticky zo dňa na deň.